Internet | Bezpečnost | Hacking

Britové za šest sekund zjistí údaje ke kreditce

Máte v peněžence platební kartu Visa? Tak to zbystřete, výzkumníci ze skotské Newcastle University totiž přišli na způsob (PDF), jak na základě známého čísla karty dohledat další klíčové informace jako platnost a kontrolní CVC kód. Trvá jim to všehovšudy šest sekund, a přitom se nejedná o žádný sofistikovaný hacking a cracking v pravém slova smyslu.

Jak je to tedy možné? Karty Visa (na rozdíl třeba od Mastercardu) podle akademiků nemají tak silnou kontrolu na podezřelé chování.

Když byste na nějaké platební bráně zkoušeli různé kombinace stále dokola, systém to velmi brzy zjistí a zablokuje vás. Jenže jinak tomu bude v případě, pokud budete tyto kombinace zkoušet napříč různými platebními bránami.

V tom je vtip a bezpečnostní slabina. Visa to nepozná, čili když takovou kontrolu provede nějaký automat třeba s pomocí dvaceti různých platebních bran, má mnohem více zkušebních pokusů, než bude odhalen. A hypotetický útočník má o to více šancí, aby se trefil. Výzkumníkům z Newcastlu se to podařilo za zmíněných šest sekund.

Sama karetní asociace Visa považuje tento útok za natolik exotický, že mu zpočátku nevěnovala příliš pozornosti, přestože se bezpečnostní experti domnívají, že tuto slabinu skutečně zneužila jistá skupina útočníků, která získala karetní údaje dvaceti tisíc kreditek britského Teska.

Vyjádření karetní asociace Visa

Výzkum nebere v úvahu množství úrovní ochrany před zneužitím, které v rámci platebního systému existují. Aby bylo možné realizovat transakci v reálném světě, musí být každá z nich funkční. Cílem Visy je udržovat míru podvodných transakcí na minimu, a proto úzce spolupracuje s vydavateli a přijímateli karet na tom, aby bylo velmi obtížné ilegálně získat a zneužít data držitelů karet. Vydavatelům karet pak poskytujeme veškerá data potřebná pro informované rozhodnutí, co se týče míry rizika transakcí. Stejně tak samozřejmě existují kroky, prostřednictvím kterých mohou obchodníci a vydavatelé karet zmařit pokusy o zneužití karet za použití hrubé síly. Pro spotřebitele je nejdůležitější vědět, že i v případě, kdy dojde ke zneužití čísla platební karty, jsou její držitelé chráněni před případnou odpovědností vyplývající z dané transakce.

Visa také nabízí zabezpečení pomocí služby Verified by Visa (na základě standardu 3DSecure), která zajišťuje větší bezpečí transakcí uskutečněných on-line. Nedávno byla oznámena nová specifikace 3DSecure 2.0 a Visa nyní aktivně pracuje na začlenění jejích bezpečnostních předností do Verified by Visa. Pokud se obchodník rozhodne nevyužít službu Verified by Visa pro transakce bez fyzické přítomnosti platební karty, pravděpodobnost podvodu se tím velmi zvyšuje.

Visa vítá snahy odborníků a akademiků identifikovat slabá místa platebního systému. Spolu s naším interním monitoringem a testováním to napomáhá jak společnosti Visa, tak platebnímu průmyslu obecně učinit platby ještě bezpečnějšími.

Marcel Gajdoš, regionální manažer Visa pro Českou republiku a Slovensko

Diskuze (13) Další článek: Více než polovina českých domén používá zabezpečení DNSSEC, trvalo to devět let

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,